DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Transcripción

1 DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO GARCIA LONDOÑO GERENTE GENERAL 30/10/2014 Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 1 de 23

2 1. TABLA DE MODIFICACIONES En este documento se realizaron cambios. Por favor léalos y aplíquelos. Verifique que esté utilizando la última Versión correspondiente a la última revisión. Nº VERSIÓN MODIFIC FECHA MODIFICAC MODIFICACIONES 2 01/07/08 Ajustar la declaración de aplicabilidad de acuerdo al os lineamientos del procedimiento de elaboración y control de documentos GD-P /07/08 Incluir dentro de la declaración de aplicabilidad los controles operativos y la justificación. 3 18/08/2009 Se realizó una verificación de la aplicación de los controles y un ajuste a las justificaciones de los controles. 3 28/07/2011 Se generalizó la carta de aplicabilidad. Se incluyó en control /04/2013 Se adiciono el control A relacionado con el Control de acceso al código fuente de los programas. 5 30/10/ /01/2015 Se actualizó la carta de aplicabilidad de acuerdo a la nueva versión de la ISO 27001:2013 Se adiciona a la declaración de aplicabilidad los siguientes controles: 60. A SEPARACION DE LOS AMBIENTES DE DESARROLLO, PRUEBAS Y OPERACIÓN. 85. A PRINCIPIOS DE CONSTRUCCIÓN DE LOS SISTEMAS SEGUROS 89. A PRUEBAS DE ACEPTACIÓN DE SISTEMAS 90. A PROTECCIÓN DE DATOS DE PRUEBA 93. A CADENA DE SUMINISTRO DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN 106. A DISPONIBILIDAD DE INSTALACIONES DE PROCESAMIENTO DE INFORMACIÓN Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 2 de 23

3 LA GERENCIA GENERAL Se compromete a cumplir con el mantenimiento, sostenibilidad y aplicabilidad del Sistema de Gestión de la Información SGSI, junto con sus políticas y procedimientos definidos para Proteger los recursos de información de la Empresa y la tecnología utilizada para su procesamiento, frente a amenazas, internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información. Asegurar la implementación de las medidas de seguridad establecidas en la Política de Seguridad de la Información, identificando los recursos correspondientes, para mantener la Política de Seguridad de la Compañía actualizada, a efectos de asegurar su vigencia y nivel de eficacia. El Área de Auditoria Interna, o en su defecto quien sea propuesto por la Alta Gerencia es responsable de practicar auditorias periódicas sobre los sistemas y actividades vinculadas con la tecnología de información, debiendo informar sobre el cumplimiento de las especificaciones y medidas de seguridad de la información establecidas por esta Política y por las normas, procedimientos y prácticas que de ella surjan. Todos los colaboradores requieren entender las políticas de seguridad de la información y la violación a las políticas de seguridad, estándares y procedimientos tendrá una acción correctiva. Las acciones disciplinarias deben ser consistentes con la severidad del incidente. GERARDO GARCIA LONDOÑO GERENTE GENERAL Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 3 de 23

4 OBJETIVOS DE CONTROL CONTROLES APLICABILIDAD JUSTIFICACIÓN A.5 POLITICAS DE A 5.1 ORIENTACIÓN DE LA DIRECCIÓN PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN A POLÍTICAS PARA LA SEGURIDAD DE LA INFORMACIÓN A REVISIÓN DE LAS POLITICAS PARA LA A.6 ORGANIZACIÓN DE LA A ROLES Y RESPONSABILIDADES PARA LA A 6.1 ORGANIZACIÓN A INTERNA SEPARACIÓN DE DEBERES A CONTACTO CON LAS AUTORIDADES 1 SI 2 SI 3 SI 4 SI 5 SI La organización ha identificado los riesgos de información, en tal sentido es necesario establecer una política de seguridad de la información para informar y concientizar a todos los colaboradores y partes interesadas sobre los riesgos a los que están expuestos, así como los controles implementados para evitar la materialización de estos riesgos. Igualmente la política de seguridad de la información deberá definir claramente responsables de su desarrollo e implementación. La política de seguridad de la información de la compañía deberá ser frecuentemente revisada para asegurar su idoneidad con respecto a los riesgos de información. Está política debe ser comunicada a todas las partes interesadas. La organización mediante su política de seguridad de la información debe establecer el compromiso, organización y asignación de responsabilidades para su cumplimiento, de igual forma velar por mantener protegido su información mediante la revisión del sistema de gestión Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 4 de 23

5 A CONTACTO CON GRUPOS DE INTERÉS ESPECIAL A EN LA GESTIÓN DE PROYECTOS. 6 SI 7 SI de seguridad de la información, la firma de los acuerdos de confidencialidad, manteniendo contacto con las autoridades y con grupos de interés especiales, y la revisión independiente de seguridad de la información, por lo anterior es importante establecer controles para la organización interna de seguridad de la información. A POLÍTICA PARA DISPOSITIVOS MÓVILES 8 SI La organización restringe la conexión a las redes inalámbricas de internet por parte de los dispositivos móviles y equipos de terceros. A 6.2 DISPOSITIVOS MÓVILES Y TELETRABAJO A TELETRABAJO 9 NO De acuerdo con lo establecido en la Ley 1221 de 2008 la organización no cuenta con Teletrabajo, el cual es una forma de organización laboral, que consiste en el desempeño de actividades remuneradas o prestación de servicios a terceros utilizando como soporte las tecnologías de la información y la comunicación TIC para el contacto entre el trabajador y la empresa, sin requerirse la presencia física del trabajador en un sitio específico de trabajo. A.7 SEGURIDAD DE LOS RECURSOS HUMANOS A 7.1 ANTES DE ASUMIR EL EMPLEO A SELECCIÓN 10 SI Para el desarrollo de las actividades de Consultoría e Interventoría la organización requiere contratar personal, los cuales tienen acceso a la información de la compañía, por tanto es importante implementar controles basándose en los Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 5 de 23

6 A 7.2 DURANTE LA EJECUCIÓN DEL EMPLEO A 7.3 TERMINACIÓN Y CAMBIO DE EMPLEO A TÉRMINOS Y CONDICIONES DEL EMPLEO A RESPONSABILIDADES DE LA DIRECCIÓN A TOMA DE CONCIENCIA, EDUCACIÓN, Y FORMACIÓN EN S.I. A PROCESO DISCIPLINARIO A7.3.1 TERMINACIÓN O CAMBIO DE RESPONSABILIDADES DE EMPLEO 11 SI 12 SI 13 SI 14 SI 15 SI reglamentos, la ética y las leyes pertinentes, que aseguren un proceso de verificación de antecedentes, asignación de roles y responsabilidades, términos de contratación y condiciones laborales previo acceso a la información. El personal de la organización en el desarrollo de las actividades para las cuales fueron contratados interactúan permanentemente con la información, en tal sentido es necesario establecer controles para asegurar que son conscientes de los riesgos, responsabilidades y deberes con respecto a seguridad de la información, igualmente es necesario capacitar y concienciar al personal permanentemente en temas de seguridad de la información según sea pertinente para sus funciones laborales. También se hace preciso establecer un proceso disciplinario que permita a la organización saber cómo actuar en caso de que los colaboradores cometan alguna violación de la seguridad, sin embargo para evitar al máximo que se presente incidentes la dirección exigirá a los colaboradores el cumplimiento de las políticas y procedimientos establecidos. La organización desarrolla proyectos en el área de Consultoría e Interventoría los cuales tienen un inicio y fin, por esta razón es necesario establecer controles que permitan asegurar la devolución de los activos de la organización y el retiro o cambio de los derechos de acceso cuando se presentan renuncias, terminaciones o Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 6 de 23

7 cambios de la contratación del personal que conforman los diferentes proyectos o áreas transversales de la organización. A.8 GESTION DE ACTIVOS A 8.1 RESPONSABILIDAD POR LOS ACTIVOS A 8.2 CLASIFICACIÓN DE LA INFORMACIÓN A INVENTARIO DE ACTIVOS A PROPIEDAD DE LOS ACTIVOS A USO ACEPTABLE DE LOS ACTIVOS A DEVOLUCIÓN DE LOS ACTIVOS A CLASIFICACIÓN DE LA INFORMACIÓN 16 SI 17 SI 18 SI 19 SI 20 SI La organización dentro del proceso de implementación y mantenimiento del sistema de gestión de seguridad de la información debe realizar un inventario de todos sus activos de información, los cuales le permiten desarrollar su labor de Consultoría e Interventoría, en tal sentido es importante identificar los propietarios de estos, realizar un inventario de los más importantes, y también garantizar el uso adecuado de los mismos a través de reglas documentadas e implementadas. Los activos de la organización deberán ser regresados por los colaboradores al finalizar su relación contractual. La organización debe asegurar la devolución de los activos cuando se presentan renuncias, terminaciones o cambios de la contratación del personal que conforman los diferentes proyectos o áreas transversales de la organización. La compañía en sus actividades de Consultoría e Interventoría tiene información de diferentes tipos, la cual tiene diferentes niveles de importancia y Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 7 de 23

8 A 8.3 MANEJO DE MEDIOS A.9 CONTROL DE ACCESO A ETIQUETADO DE LA INFORMACIÓN A MANEJO DE ACTIVOS A GESTIÓN DE MEDIOS REMOVIBLES 21 SI 22 SI 23 SI A DISPOSICIÓN DE LOS MEDIOS 24 SI A TRANSFERENCIA DE MEDIOS FÍSICOS. 25 SI protección, por ejemplo la información de licitaciones o financiera no tiene la misma protección que la información de la ejecución de los proyectos, por lo anterior se deben implementar controles y procedimientos que permitan dar a la información de la empresa el nivel adecuado de protección, etiquetado y manejo con base en la clasificación de información que se utilice, tomando en cuenta su valor, los requisitos legales, la sensibilidad y la importancia para la organización. Para el desarrollo de las actividades de Consultoría e Interventoría se utilizan medios para el intercambio de información, tales como correo electrónico empresarial, servicios de mensajería, USB, CD, entre otros por lo anterior es necesario establecer controles para asegurar la que se eviten eventos como divulgación, modificación, retiro o destrucción de información no autorizada. A 9.1 REQUISITOS DEL NEGOCIO PARA CONTROL DE ACCESO A POLÍTICA DE CONTROL DE ACCESO 26 SI A SI La organización desarrolla actividades de Consultoría e Interventoría dentro de las cuales los activos de información son manejados por los colaboradores, en tal sentido es importante establecer controles de seguridad que permitan asegurar que los propietarios de activos de información controlan el acceso a la información. Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 8 de 23

9 A 9.2 GESTIÓN DE ACCESO DE USUARIOS A 9.3 RESPONSABILIDADES DE LOS USUARIOS ACCESO A REDES Y A SERVICIOS EN RED A REGISTRO Y CANCELACIÓN DEL REGISTRO DE USUARIOS A SUMINSITRO DE ACCESO DE USUARIOS A GESTIÓN DE DERECHOS DE ACCESO PRIVILEGIADO A GESTIÓN DE LA INF. DE AUTENTICACIÓN SECRETA DE USUARIOS A REVISIÓN DE LOS DERECHOS DE ACCESO DE USUARIOS A RETIRO O AJUSTE DE LOS DERECHOS DE ACCESO. A USO DE INFORMACIÓN DE AUTENTICACIÓN SECRETA 28 SI 29 SI 30 SI 31 SI 32 SI 33 SI 34 SI La organización para su operación cuenta con una red LAN única la cual soporta las actividades de los diferentes usuarios, por lo tanto es necesario establecer controles de seguridad para asegurar que los usuarios solo tienen acceso a los servicios para los cuales están autorizados. El personal de la compañía maneja diferentes tipos de información de acuerdo al área o proyecto en el cual participan, por esta razón es muy importante gestionar de forma adecuada el acceso de los usuarios de acuerdo al área o proyecto. En tal sentido es importante establecer controles de seguridad aseguren el acceso de usuarios autorizados así como evitar el acceso de usuarios no autorizados a información fuera de su área o proyecto. El personal de la compañía maneja para acceder a los servicios de red un usuario único e intransferible al cual se le asignan las respectivas credenciales, las cuales se deben actualizar cada treinta (30 (días). Lo anterior aplica para los usuarios ubicados en la Sede Principal de la Compañía. Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 9 de 23

10 A 9.4 CONTROL DE ACCESO A SISTEMAS Y APLICACIONES A RESTRICCIÓN DE ACCESO A LA INFORMACIÓN A PROCEDIMIENTO DE INGRESO SEGURO. A SISTEMA DE GESTIÓN DE CONTRASEÑAS. A USO DE PROGRAMAS UTILITARIOS PRIVILEGIADOS. 35 SI 36 SI 37 SI 38 SI El personal de la compañía maneja para acceder a los servicios de red un usuario único e intransferible al cual se le asignan las respectivas credenciales, las cuales se deben actualizar cada treinta (30 (días). Lo anterior aplica para los usuarios ubicados en la Sede Principal de la Compañía. A CONTROL DE ACCESO A CODIGOS FUENTE DE PROGRAMAS. 39 SI A. 10 CRIPTOGRAFIA A 10.1 CONTROLES CRIPTOGRAFICOS A POLÍTICA SOBRE USO DE CONTROLES CRIPTOGRÁFICOS A GESTIÓN DE LLAVES 40 SI 41 SI La organización para los sistemas de información que se manejan en los diferentes proyectos debe establecer controles criptográficos con el objetivo de garantizar la confidencialidad e integridad de la información. La organización para los sistemas de información que se manejan en los diferentes proyectos debe establecer controles criptográficos con el objetivo de garantizar la confidencialidad e integridad de la información. A. 11 SEGURIDAD FISICA Y DEL ENTORNO A 11.1 Á A PERÍMETRO DE SEGURIDAD FÍSICA 42 SI La organización para el desarrollo de sus actividades cuenta con una infraestructura Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 10 de 23

11 REAS SEGURAS A CONTROLES DE ACCESO FÍSICOS A SEGURIDAD DE OFICINAS, RECINTOS E INSTALACIONES A PROTECCIÓN CONTRA AMENAZAS EXTERNAS Y AMBIENTALES A TRABAJO EN ÁREAS SEGURAS A ÁREAS DE DESPACHO Y CARGA 43 SI 44 SI 45 SI 46 SI 47 NO física, ubicada el sector central de la ciudad, en la cual se ubican los activos de información, en tal sentido es importante establecer los controles de seguridad para evitar el acceso físico no autorizado, el daño a la infraestructura y activos de información de la compañía. La infraestructura física que la organización utiliza para el desarrollo de sus actividades de Consultoría e Interventoría no cuenta con áreas de carga o despacho, el edificio solo tiene una entrada principal con su respectiva recepción; por tal razón no es necesario establecer controles de seguridad para proteger las áreas de despacho o carga. A 11.2 EQUIPOS A UBICACIÓN Y PROTECCION DE LOS EQUIPOS A SERVICIOS DE SUMINSITRO A SEGURIDAD EN EL CABLEADO A MANTENIMIENTO DE EQUIPOS 48 SI 49 SI 50 SI 51 SI Para el desarrollo de las actividades de Interventoría y Consultoría la organización utiliza equipos tales como servidores, computadores de escritorio, portátiles, impresoras, fotocopiadoras, faxes, escáneres, entre otros, en estos equipos se procesa la información de los diferentes proyectos y de la empresa por tal razón es necesario establecer controles que permitan evitar la ocurrencia de eventos como pérdida, daño, robo o interrupción de los equipos tanto dentro como fuera de la organización. A RETIRO DE ACTIVOS 52 SI Para el desarrollo de las actividades de Consultoría e Interventoría la organización utiliza equipos tales como servidores, Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 11 de 23

12 A.12 SEGURIDAD DE LAS OPERACIONES A SEGURIDAD DE EQUIPOS Y ACTIVOS FUERA DE LAS INSTALACIONES A DISPOSICIÓN SEGURA O REUTILIZACIÓN DE EQUIPOS A EQUIPOS DE USUARIO DESATENDIDO A POLÍTICA DE ESCRITORIO LIMPIO Y PANTALLA LIMPIA. 53 SI 54 SI 55 SI 56 SI computadores de escritorio, portátiles, impresoras, fotocopiadoras, faxes, escáneres, entre otros, en estos equipos se procesa la información de los diferentes proyectos y de la empresa por tal razón es necesario establecer controles que permitan evitar la ocurrencia de eventos como pérdida, daño, robo o interrupción de los equipos tanto dentro como fuera de la organización. El personal de la organización es responsable de los activos de información que se encuentran a su cargo, así como de la protección de estos activos en cuanto confidencialidad, integridad y disponibilidad, de tal forma que se han definido responsabilidades claras en cuanto a seguridad de la información en los manuales de funciones que son entregados al personal, en tal sentido es necesario establecer controles de seguridad para asegurar que se evita el acceso de usuarios no autorizados y el robo de información. A 12.1 PROCEDIMIENTOS OPERACIONALES Y RESPONSABILIDADES A PROCEDIMIENTOS DE OPERACIÓN DOCUMENTADOS A GESTIÓN DE CAMBIOS A GESTIÓN DE CAPACIDAD 57 SI 58 SI 59 SI La compañía para el desarrollo de sus actividades de Interventoría y consultoría utiliza herramientas ofimáticas y tecnológicas, con las cuales interactúan permanentemente el personal a través de los equipos asignados para su labor, en tal sentido es necesario establecer controles de seguridad que garanticen que todos los cambios se controlan, revisan y someten a pruebas para no comprometer la seguridad Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 12 de 23

13 del sistema ni el entorno operativo y también evitar así la fuga de información. A 12.2 PROTECCION CONTRA CODIGOS MALICIOSOS A 12.3 COPIAS DE RESPALDO A SEPARACION DE LOS AMBIENTES DE DESARROLLO, PRUEBAS Y OPERACIÓN. A CONTROLES CONTRA CÓDIGOS MALICIOSOS A RESPALDO DE LA INFORMACIÓN 60 SI SI SI La organización realiza antes de la instalación de software pruebas en ambientes diferentes a los de producción con el fin de reducir los riesgos de acceso y cambios no autorizados. Para el desarrollo de las actividades de la organización se utilizan servicios como Internet, medios extraíbles, los cuales pueden afectar el correcto funcionamiento de activos de información como equipos, software entre otros, por lo tanto es importante establecer controles de seguridad que permitan detección y prevención de la acción de códigos maliciosos así como también procedimientos de concientización de los usuarios. La información de la empresa y de los diferentes proyectos se encuentra ubicada en los equipos asignados a los colaboradores así como en el servidor de archivos, en tal sentido es importante establecer controles de seguridad que aseguren la ejecución de procedimientos de backup y recuperación que permitan restaurar en el menor tiempo la información ante la materialización de un riesgo, y así permitir que la empresa continué con sus actividades habituales sin ningún inconveniente. Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 13 de 23

14 A 12.4 REGISTRO Y SEGUIMIENTO A REGISTRO DE EVENTOS A PROTECCIÓN DE LA INFORMACIÓN DE REGISTRO A REGISTROS DEL ADMINSITRADOR Y DEL OPERADOR A SINCRONIZACIÓN DE RELOJES 63 SI 64 SI 65 SI 66 SI La compañía para el desarrollo de sus actividades cuenta con colaboradores que tienen acceso a los diferentes activos de información para la ejecución de sus actividades, en tal sentido es importante establecer controles de seguridad que permitan la detección oportuna de actividades de procesamiento de información no autorizadas y herramientas para investigaciones futuras de incidentes de seguridad de la información. A 12.5 CONTROL DE SOFTWARE OPERACIONAL A 12.6 GESTION DE LA VULNERABILIDAD TÉCNICA A INSTALACIÓN DE SOFTWARE EN SISTEMAS OPERATIVOS A GESTIÓN DE LAS VULNERABILIDADES TÉCNICAS A RESTRICCIÓN SOBRE LA INSTALACION DE SOFWARE 67 SI SI SI La organización para el desarrollo de sus actividades utiliza diferentes sistemas operativos tales como, WINDOWS 2008 y 2012 SERVER, WINDOWS 7 y versiones en adelante, en tal sentido es importante establecer controles de seguridad para garantizar la protección, control y correcta operación de los sistemas operativos. De igual forma para los equipos asignados a los Usuarios se restringe la posibilidad de instalación de programas y/o aplicativos. La compañía tiene activos de información tecnológicos los cuales están expuestos a vulnerabilidades de tipo técnico, por lo tanto es necesario establecer controles de seguridad para garantizar la reducción de los riesgos derivados de las vulnerabilidades técnicas. La organización para el desarrollo de sus actividades utiliza diferentes sistemas operativos tales como, WINDOWS 2008 y 2012 SERVER, WINDOWS 7 y versiones en adelante, en tal sentido es importante establecer controles de seguridad para Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 14 de 23

15 A 12.7 CONTROLES DE AUDITORIAS DE SISTEMAS DE INFORMACIÓN A 12.7 CONTROLES DE AUDITORIAS DE SISTEMAS DE INFORMACIÓN A. 13 SEGURIDAD DE LAS COMUNICACIONES A 13.1 GESTIÓN DE LA SEGURIDAD DE LAS REDES A CONTROLES DE REDES A SEGURIDAD DE LOS SERVICIOS DE RED 70 SI 71 SI 72 SI garantizar la protección, control y correcta operación de los sistemas operativos. La compañía cuenta con sistemas operativos que pueden ser objeto de auditoria de seguridad de la información, por lo tanto es importante establecer controles de seguridad que garanticen un adecuado uso de las herramientas de auditoria y minimizar la interrupción de los sistemas durante el proceso. La organización para el desarrollo de sus actividades de Interventoría y Consultoría cuenta con una red LAN única sobre que la desarrollan todas las aplicaciones ejecutadas por los usuarios, por lo anterior es importante establecer controles de seguridad para asegurar la información en la red, protegerla de amenazas y garantizar su infraestructura de soporte. A 13.2 TRANSFERENCIA DE INFORMACIÓN A SEPARACIÓN EN LAS REDES A POLÍTICAS Y PROCEDIMIENTOS DE TRASNFERENCIA DE INFORMACIÓN A ACUERDOS SOBRE TRASNFERENCIA DE INFORMACIÓN 73 NO 74 SI 75 SI La organización no considera necesario este control para la protección de su información. Dentro del desarrollo normal de las actividades de la compañía se presentan actividades de intercambio de información con clientes, colaboradores, entre otros como parte del desarrollo de los proyectos, por lo cual es importante establecer controles de seguridad para asegurar que se cumplen las políticas y procedimientos Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 15 de 23

16 A MENSAJERIA ELECTRÓNICA A ACUERDOS DE CONFIDENCIALIDAD O DE NO DIVULGACIÓN 76 SI 77 SI de la empresa para el intercambio de información y para garantizar que no se presente uso inadecuado o corrupción cuando la información sale fuera de las instalaciones de la organización. La organización mediante su política de seguridad de la información establece su compromiso, organización y asignación de responsabilidades para su cumplimiento, de igual forma vela por mantener protegido sus activos de información mediante la revisión del sistema de gestión de seguridad de la información, la firma de los acuerdos de confidencialidad, manteniendo contacto con las autoridades y con grupos de interés especiales, y la revisión independiente de seguridad de la información, por lo anterior es importante establecer controles para la organización interna de seguridad de la información. A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS A 14.1 REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN A ÁNALISIS Y ESPECIFICACIÓN DE REQUISITOS DE SI A SEGURIDAD DE SERVICIOS DE LAS APLICACIONES EN REDES PÚBLICAS 78 SI 79 SI La compañía desarrolla actividades de Consultoría e Interventoría para los cuales utiliza herramientas ofimáticas y tecnológicas, en tal sentido es necesario establecer controles de seguridad para garantizar que tienen en cuenta los requisitos del negocio antes de implementar cambios en la tecnología de la empresa. Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 16 de 23

17 A 14.2 CONTROL DE ACCESO AL SISTEMA OPERATIVO A PROTECCIÓN DE TRANSACCIONES DE LOS SERVICIOS DE LAS APLICACIONES A POLÍTICA DE DESARROLLO SEGURO A PROCEDIMIENTO DE CONTROL DE CAMBIOS EN SISTEMAS A REVISIÓN TÉCNICAS DE LAS APLICACIONES DESPUES DE CAMBIOS EN LA PLATAFORMA DE OPERACIÓN A RESTRICCIONES EN LOS CAMBIOS A LOS PAQUETES DE SOFTWARE A PRINCIPIOS DE CONSTRUCCIÓN DE LOS SISTEMAS SEGUROS 80 SI 81 SI 82 SI 83 SI 84 SI 85 SI La organización desarrolla actividades a través de diferentes aplicaciones por lo cual es necesario aplicar los controles de seguridad tales como llaves o encriptación para los sistemas de información de los proyectos. La organización para el desarrollo de actividades de los proyectos puede establecer sistemas de información, por lo cual es necesario establecer controles de seguridad para el desarrollo seguro de sistemas de información por terceros, que permitan garantizar que cumplen con las características técnicas y de seguridad que se requiere. La compañía para el desarrollo de sus actividades de Interventoría y consultoría utiliza herramientas ofimáticas y tecnológicas, con las cuales interactúan permanentemente el personal a través de los equipos asignados para su labor, en tal sentido es necesario establecer controles de seguridad que garanticen que todos los cambios se controlan, revisan y someten a pruebas para no comprometer la seguridad del sistema ni el entorno operativo y también evitar así la fuga de información. La compañía a través de la política de desarrollo de terceros establece y exige los lineamientos y buenas prácticas para el desarrollo y construcción de sistemas de información seguros. A AMBIENTE DE DESARROLLO SEGURO 86 NO La organización no considera necesario este control para la protección de su información. Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 17 de 23

18 A 14.3 DATOS DE PRUEBA A DESARROLLO CONTRATADO EXTERNAMENTE A PRUEBAS DE SEGURIDAD DE SISTEMAS A PRUEBAS DE ACEPTACIÓN DE SISTEMAS A.15 RELACIONES CON LOS PROVEEDORES 87 SI 88 NO 89 SI A PROTECCIÓN DE DATOS DE PRUEBA 90 SI La organización requiere para algunas de las actividades de Interventoría y Consultoría el desarrollo de software contratado externamente, por lo tanto se deben establecer controles de seguridad para proteger el acceso al código fuente de los sistemas de información, para evitar su alteración o uso malintencionado. La organización no considera necesario este control para la protección de su información. La compañía válida los nuevos sistemas de información en un servidor de prueba antes de ser puestos a producción. Además está establecido en la política de desarrollo por terceros los criterios y pruebas de aceptación para los nuevos sistemas de información que adquiera la compañía. La organización realiza pruebas a los sistemas de información con datos no válidos. Además está establecido en la política de desarrollo por terceros los criterios y pruebas de aceptación para los nuevos sistemas de información que adquiera la compañía. A RELACIONES CON LOS PROVEEDORES A SEGURIDAD DE LA INFORMACIÓN EN LAS RELACIONES CON LOS PROVEEDORES 91 SI La compañía desarrolla actividades de Consultoría e Interventoría para los cuales requiere realizar diferentes tipos de compras, en tal sentido es necesario establecer controles de seguridad para Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 18 de 23

19 A 15.2 GESTIÓN DE LA PRESENTACIÓN DE SERVICIOS DE PROVEEDORES A TRATAMIENTO DE LA SEGURIDAD DENTRO DE LOS ACUERDOS CON PROVEEDORES A CADENA DE SUMINISTRO DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN A SEGUIMIENTO Y REVISIÓN DE LOS SERVICIOS DE LOS PROVEEDORES 92 SI 93 SI 94 SI A GESTIÓN DE CAMBIOS EN LOS SERVICIOS DE LOS PROVEEDORES 95 SI A.16 GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACION A 16.1 GESTION DE INCIDENTES Y MEJORAS EN LA SEGURIDAD DE LA INFORMACIÓN A RESPONSABILIDADES Y PROCEDIMIENTOS 96 SI garantizar que tienen en cuenta los requisitos del negocio antes de gestionar compras de bienes o servicios que afecten la seguridad de la información de la organización y la infraestructura que sobre la cual esta soportada. La organización requiere para algunos de sus proyectos el desarrollo de sistemas de información, por lo cual al momento de contratarlos exige el cumplimiento de las buenas prácticas y cumplimiento de las políticas de la organización para su desarrollo. La compañía desarrolla actividades de Consultoría e Interventoría para los cuales requiere realizar diferentes tipos de compras, en tal sentido es necesario establecer controles de seguridad para garantizar que tienen en cuenta los requisitos del negocio antes de gestionar compras que de bienes o servicios que afecten la seguridad de la información e la organización y la infraestructura que sobre la cual esta soportada. La organización mediante su política de seguridad de la información establece su compromiso, organización y asignación de para su cumplimiento, de igual forma vela por mantener protegido sus activos de información mediante la revisión del sistema de gestión de seguridad de la información, la firma de los acuerdos de confidencialidad, manteniendo contacto con las autoridades y con grupos de interés Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 19 de 23

20 A REPORTE DE EVENTOS DE A REPORTE DE DEBILIDADES DE A EVALUACIÓN DE EVENTOS DE Y DECISIONES SOBRE ELLOS 97 SI 98 SI 99 SI especiales, y la revisión independiente de seguridad de la información, por lo anterior es importante establecer controles para la organización interna de seguridad de la información. La compañía tiene 12 grupos de activos de información a los que se les ha realizado su respectivo análisis, evaluación y tratamiento del riesgo, los cuales pueden ser objeto de incidentes de seguridad de la información, por lo cual es importante establecer controles que aseguren que los eventos y debilidades de seguridad de la información son comunicados oportunamente a través de los canales de gestión apropiados al área de seguridad de la información para su respectiva gestión tan pronto como sea posible. A 17.1 CONTINUIDAD EN SEGURIDAD DE LA INFORMACIÓN A RESPUESTA A INCIDENTES DE SEGUIRIDAD DE LA INFORMACIÓN A APRENDIZAJE OBTENIDO DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN A RECOLECCIÓN DE EVIDENCIA 100 SI 101 SI 102 SI La compañía tiene 12 grupos de activos de información los cuales pueden ser objeto de incidentes de seguridad de la información y deben ser analizados por el personal designado por la gerencia para identificar acciones de mejora, en tal sentido es necesario establecer controles de seguridad para garantizar un manejo eficaz y consistente de los incidentes de seguridad de la información. A.17 ASPECTOS DE SEGURIDAD DE LA INFORMACION DE LA GESTION DE CONTINUIDAD DE NEGOCIO A PLANIFICACIÓN DE LA CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACIÓN 103 SI A IMPLEMENTACIÓN DE LA 104 SI La compañía como empresa está comprometida con sus clientes a través de los contratos de los proyectos a garantizar el cumplimiento total del objeto de estos, en tal sentido ante cualquier interrupción en las actividades del negocio por fallas Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 20 de 23

21 A 17.2 REDUNDANCIAS A 18.1 CUMPLIMIENTO DE REQUISITOS LEGALES Y CONTRACTUALES A. 18 CUMPLIMIENTO CONTINUIDAD DE LA SI A VERIFICACIÓN, REVISIÓN Y EVALUACIÓN DE LA CONTINUIDAD DE LA SI A DISPONIBILIDAD DE INSTALACIONES DE PROCESAMIENTO DE INFORMACIÓN A IDENTIFICACIÓN DE LA LEGISLACIÓN APLICABLE Y DE LOS REQUISITOS CONTRACTUALES. A DERECHOS DE PROPIEDAD INTELECTUAL A PROTECCIÓN DE REGISTROS A PRIVACIDAD Y PROTECCIÓN DE INFORMACIÓN DE DATOS PERSONALES A REGLAMENTACIÓN DE CONTROLES CRIPTOGRÁFICOS 105 SI 106 SI 107 SI 108 SI 109 SI 110 SI 111 SI tecnológicas importantes o desastres, la empresa debe contar una gestión de continuidad del negocio que permita minimizar el impacto generado en su capacidad de ejecución de los proyectos, por lo anterior es necesario establecer controles para asegurar una adecuada gestión de continuidad del negocio. La organización cuenta con equipos de respaldo para aquellos servicios críticos, como firewall e internet, entre otros para garantizar la disponibilidad de las instalaciones de procesamiento de información. La organización desarrolla sus actividades de Interventoría y Consultoría en el marco del cumplimiento de la legislación Colombiana, los requisitos contractuales y los propios, en tal sentido es importante establecer controles de seguridad que garanticen el cumplimiento de todos los requisitos legales, contractuales y propios. La organización para los sistemas de información que se manejan en los diferentes proyectos debe establecer controles criptográficos con el objetivo de garantizar la confidencialidad e integridad de la información. Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 21 de 23

22 A 18.2 REVISIONES DE SEGURIDAD DE LA INFORMACIÓN INSTALACIÓN DE EXTINTORES CIRCUITO CERRADO DE TELEVISIÓN ALARMA CONTRA INTRUSOS USO DE CARNET A REVISIÓN INDEPENDIENTE DE LA A CUMPLIMIENTO CON LAS POLÍTICAS Y NORMAS DE SEGURIDAD 113 A REVISIÓN DEL CUMPLIMIENTO TÉCNICO 112 SI SI 114 SI CONTROLES OPERATIVOS La organización mediante su política de seguridad de la información establece su compromiso, organización y asignación de para su cumplimiento, de igual forma vela por mantener protegido sus activos de información mediante la revisión del sistema de gestión de seguridad de la información, la firma de los acuerdos de confidencialidad, manteniendo contacto con las autoridades y con grupos de interés especiales, y la revisión independiente de seguridad de la información, por lo anterior es importante establecer controles para la organización interna de seguridad de la información. El personal de la organización interactúa permanentemente con los activos de información para los cuales se han diseñado políticas y controles en materia de seguridad de la información, en tal sentido es importante establecer controles de seguridad que garanticen que todo el personal de la empresa conoce y aplica las políticas de seguridad de la información y los respectivos controles. Es necesario establecer controles para proteger la infraestructura física de la compañía en los casos de fuego. Es necesario establecer controles para proteger los activos de información ante accesos no autorizados. Es necesario establecer controles para proteger la infraestructura física de la compañía contra robo. Es necesario establecer controles para proteger los activos de información ante acceso no autorizados. Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 22 de 23

23 COLABORADOR PAR DE FUNCIONES BRIGADA DE EMERGENCIA CONTROL DE INGRESO Y SALIDA DE VISITANTES CONTROL DE HORARIO NO LABORAL DE COLABORADORES. Es necesario establecer controles para mitigar el riesgo de perdida de información cuando un colaborador no se encuentra disponible para desarrollar actividad importante para la compañía. Es necesario establecer controles para asegurar que en casos de emergencia se cuente con personal capacitado que permita proteger a todos los colaboradores de la compañía. Es necesario establecer controles para proteger los activos de información ante acceso no autorizados. Es necesario establecer controles para proteger los activos de información ante acceso no autorizado. Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 23 de 23